Трета мащабна кибератака за една година. Този път вирусът има ново име Bad Rabbit и стари навици: криптиране на данни и изнудване на пари за отключване. А Русия, Украйна и някои други страни от ОНД все още са в засегнатата зона.

Bad Rabbit следва обичайния модел: той изпраща фишинг имейл с прикачен вирус или връзка. По-специално, нападателите могат да се представят за техническа поддръжка на Microsoft и да ви помолят спешно да отворите прикачен файл или да последвате връзка. Има и друг път на разпространение - фалшив прозорец за актуализиране. Adobe FlashИграч. И в двата случая Bad Rabbit действа по същия начин като сензационния не толкова отдавна, той криптира данните на жертвата и изисква откуп от 0,05 биткойн, което е приблизително 280 долара по обменния курс към 25 октомври 2017 г. Жертвите на новата епидемия станаха Интерфакс, петербургското издание Фонтанка, Киевската метрополия, летището в Одеса и Министерството на културата на Украйна. Има доказателства, че новият вирус се е опитал да атакува няколко известни руски банки, но тази идея се е провалила. Експертите свързват Bad Rabbit с предишни големи атаки, регистрирани тази година. Доказателство за това е подобен софтуер за криптиране Diskcoder.D, а това е същият шифратор Petya, само леко модифициран.

Как да се предпазите от Bad Rabbit?

Експертите препоръчват на собствениците Windows компютрисъздайте файл "infpub.dat" и го поставете вътре Windows папкана устройство "C". В резултат пътят трябва да изглежда така: C:\windows\infpub.dat. Това може да стане с помощта на обикновен бележник, но с права на администратор. За да направите това, намерете връзка към програмата Notepad, щракнете с десния бутон и изберете „Изпълни като администратор“.

След това просто трябва да запишете този файл на адрес C:\windows\, тоест в папката Windows на устройство „C“. Име на файла: infpub.dat, като „dat“ е файловото разширение. Не забравяйте да замените стандартното разширение на бележника "txt" с "dat". След като запишете файла, отворете папката на Windows, намерете създадения файл infpub.dat, щракнете с десния бутон върху него и изберете „Свойства“, където най-долу трябва да поставите отметка в квадратчето „Само за четене“. По този начин дори да хванете вируса Bad Bunny, той няма да може да криптира вашите данни.

Превантивни мерки

Не забравяйте, че можете да се предпазите от всеки вирус, просто като следвате определени правила. Може да звучи тривиално, но никога не отваряйте имейли, още по-малко техните прикачени файлове, ако адресът ви изглежда подозрителен. Фишинг имейлите, тоест маскирането като други услуги, са най-често срещаният метод за заразяване. Внимавайте какво отваряте. Ако в имейл прикаченият файл се нарича „Важен документ.docx_______.exe“, тогава определено не трябва да отваряте този файл. Освен това трябва да имате резервни копияважни файлове. Например може да се копира семеен архив със снимки или работни документи външен дискили на облачно съхранение. Не забравяйте колко е важно да го използвате лицензирана версия Windows и инсталирайте редовно актуализации. Пачовете за сигурност се пускат редовно от Microsoft и тези, които ги инсталират, нямат проблеми с подобни вируси.

Краят на октомври тази година беше белязан от появата на нов вирус, който активно атакува компютрите на корпоративни и домашни потребители. Нов вирусе криптограф и се нарича Bad Rabbit, което означава лош заек. Този вирус беше използван за атака на уебсайтовете на няколко руски медии. По-късно вирусът беше открит в информационните мрежи на украински предприятия. Там бяха атакувани информационните мрежи на метрото, различни министерства, международни летища и др. Малко по-късно подобна вирусна атака беше наблюдавана в Германия и Турция, въпреки че активността й беше значително по-ниска, отколкото в Украйна и Русия.

Злонамереният вирус е специален плъгин, който след като достигне компютъра, криптира неговите файлове. След като информацията е криптирана, нападателите се опитват да получат награди от потребителите за дешифриране на техните данни.

Разпространение на вируса

Специалисти от лабораторията на антивирусната програма ESET анализираха алгоритъма на пътя на разпространение на вируса и стигнаха до извода, че това е модифициран вирус, който се разпространява не толкова отдавна, като вируса Petya.

Специалистите от лабораторията на ESET установиха, че злонамерените плъгини се разпространяват от ресурса 1dnscontrol.com и IP адрес IP5.61.37.209. Няколко други ресурса също са свързани с този домейн и IP, включително secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Експертите са установили, че собствениците на тези сайтове са регистрирали много различни ресурси, например тези, чрез които се опитват да продават фалшиви лекарства, използвайки спам съобщения. Специалисти на ESETНе е изключено именно с помощта на тези ресурси, използвайки спам и фишинг, да е извършена основната кибератака.

Как възниква инфекцията с вируса Bad Rabbit?

Специалисти от Лабораторията по компютърна криминалистика проведоха разследване за това как вирусът е попаднал в компютрите на потребителите. Беше открито, че в повечето случаи вирусът Bad Rabbit рансъмуер се разпространява като актуализация на Adobe Flash. Тоест вирусът не е използвал никакви уязвимости операционна система, но беше инсталиран от самите потребители, които, без да знаят, одобриха инсталирането му, мислейки, че актуализират приставката за Adobe Flash. Когато вирусът влезе локална мрежа, той открадна потребителски данни и пароли от паметта и се разпространи независимо в други компютърни системи.

Как хакерите изнудват пари

След като вирусът рансъмуер е инсталиран на компютъра, той криптира съхранената информация. След това потребителите получават съобщение, което показва, че за да получат достъп до данните си, трябва да направят плащане на определен сайт в даркнет. За да направите това, първо трябва да инсталирате специален браузър Tor. За да отключат компютъра, нападателите изнудват плащане в размер на 0,05 биткойн. Днес, при цена от $5600 за 1 биткойн, това е приблизително $280 за отключване на компютър. На потребителя се дава период от време от 48 часа, за да извърши плащане. След този период, ако необходимата сума не е преведена в електронната сметка на нападателя, сумата се увеличава.

Как да се предпазим от вируса

1. За да се предпазите от заразяване с вируса Bad Rabbit, трябва да блокирате достъпа от информационната среда до горепосочените домейни.
2. За домашни потребители трябва да актуализирате текущия Windows версиии също антивирусна програма. В този случай злонамереният файл ще бъде открит като ransomware вирус, което ще изключи възможността за инсталирането му на компютъра.
3. Тези потребители, които използват вградената антивирусна операционна система Windows системи, вече имат защита срещу този ransomware. Реализира се в Windows приложениеАнтивирус Defender.
4. Разработчиците на антивирусната програма от Kaspersky Lab съветват всички потребители периодично да архивират своите данни. Освен това експертите препоръчват да се блокира изпълнението на файловете c:\windows\infpub.dat, c:\WINDOWS\cscc.dat, а също така, ако е възможно, да се забрани използването на услугата WMI.

Заключение

Всеки потребител на компютър трябва да помни, че киберсигурността трябва да е на първо място при работа в мрежата. Ето защо винаги трябва да се уверите, че използвате само доказани информационни ресурси и внимателно да ги използвате имейлИ социални медии. Чрез тези ресурси най-често се разпространяват различни вируси. Основните правила за поведение в информационната среда ще помогнат за премахване на проблемите, възникващи по време на вирусна атака.

На 24 октомври руски медии, както и транспортни компании и държавни агенции в Украйна бяха атакувани от рансъмуера Bad Rabbit. Според открити източници сред жертвите са киевското метро, ​​летището в Одеса, Министерството на инфраструктурата на Украйна, редакциите на Интерфакс и Фонтанка.

Според вирусната лаборатория на ESET атаката срещу киевското метро е използвала зловреден софтуер Diskcoder.D, нова модификация на шифратора, известен като Petya.

Специалисти по информационна сигурност Group-IB установи, че атаката е била подготвяна от няколко дни. ESET предупреждава, че рансъмуерът прониква в компютъра чрез фалшива актуализация на Adobe Flash плъгин. След това заразява компютъра и криптира файловете на него. След това на монитора се появява съобщение, че компютърът е заключен и за да дешифрирате файловете, трябва да отидете на уебсайта на Bad Rabbit - caforssztxqzf2nm.onion през браузъра Tor.

Епидемиите от ransomware WannaCry и NotPetya показаха, че е необходимо да се актуализира навреме инсталирани програмии система, както и да правите резервни копия, за да не останете без важна информацияслед вирусна атака.

Въпреки това, ако се случи инфекция, експертите от Group-IB не препоръчват плащането на откупа, защото:

• по този начин помагате на престъпниците;
• Нямаме доказателства, че данните на платилите са възстановени.

Как да защитите компютъра си от заразяване с Bad Rabbit?

За да не станете жертва на новата епидемия от Bad Rabbit, експертите от Kaspersky Lab препоръчват да направите следното:

За потребители на антивирусни решения на Kaspersky Lab:

• Проверете дали вашето решение за сигурност включва компоненти Kaspersky SecurityМонитор на мрежата и активността (известен още като наблюдател на системата). Ако не, не забравяйте да го включите.

За тези, които не използват антивирусни решения на Kaspersky Lab.

Вчера, 24 октомври 2017 г., големи руски медии, както и редица украински държавни агенции, бяха атакувани от неизвестни нападатели. Сред жертвите са Интерфакс, Фонтанка и поне още едно неназовано онлайн издание. След медиите се съобщава и за проблеми Международно летище"Одеса", Киевското метро и Министерството на инфраструктурата на Украйна. Според изявление на анализатори на Group-IB, престъпниците също са се опитали да атакуват банкови инфраструктури, но тези опити са били неуспешни. Специалистите на ESET от своя страна твърдят, че атаките са засегнали потребители от България, Турция и Япония.

Както се оказа, смущенията в работата на компаниите и държавните агенции са причинени не от масивни DDoS атаки, а от ransomware, наречен Bad Rabbit (някои експерти предпочитат да пишат BadRabbit без интервал).

Вчера малко се знаеше за злонамерения софтуер и механизмите на неговата работа: беше съобщено, че рансъмуерът иска откуп от 0,05 биткойн, а експертите на Group-IB също казаха, че атаката се е подготвяла от няколко дни. Така на уебсайта на нападателите бяха открити два JS скрипта и, съдейки по информация от сървъра, единият от тях беше актуализиран на 19 октомври 2017 г.

Сега, въпреки че не е минал дори ден от началото на атаките, анализът на ransomware вече е извършен от специалисти от почти всички водещи компании за информационна сигурност в света. И така, какво е Bad Rabbit и трябва ли да очакваме нова „рансъмуер епидемия“ като WannaCry или NotPetya?

Как Bad Rabbit успя да причини големи прекъсвания на медиите с фалшиви Flash актуализации? Според ESET , EmsisoftИ Фокс-ИТ, след заразяването злонамереният софтуер използва помощната програма Mimikatz за извличане на пароли от LSASS, а също така имаше списък с най-често срещаните влизания и пароли. Зловреден софтуер използва всичко това, за да се разпространи чрез SMB и WebDAV към други сървъри и работни станции, разположени в същата мрежа като заразеното устройство. В същото време експерти от изброените по-горе компании и служители на Cisco Talos смятат това в този случайнямаше инструменти, откраднати от разузнавателните агенции, които да използват недостатъците на SMB. Нека ви го напомня WannaCry вирусии NotPetya бяха разпространени с помощта на този конкретен експлойт.

Въпреки това, експертите все пак успяха да намерят някои прилики между Bad Rabbit и Petya (NotPetya). По този начин рансъмуерът не само криптира потребителски файлове с помощта на DiskCryptor с отворен код, но модифицира MBR (Master Boot Record), след което рестартира компютъра и показва съобщение за откуп на екрана.

Въпреки че съобщението с исканията на нападателите е почти идентично със съобщението на операторите на NotPetya, експертите имат малко по-различни мнения относно връзката между Bad Rabbit и NotPetya. Така анализаторите от Intezer изчислиха, че изходният код на зловреден софтуер

В края на 80-те години на миналия век вирусът на СПИН („PC Cyborg“), написан от Джоузеф Поп, скри директории и криптирани файлове, изисквайки плащане от около $200 за „подновяване на лиценз“. Първоначално рансъмуерът беше насочен само към обикновени хора, използващи работещи компютри Windows контрол, но сега самата заплаха се превърна в сериозен проблем за бизнеса: появяват се все повече и повече програми, те стават по-евтини и по-достъпни. Изнудването чрез злонамерен софтуер е основната киберзаплаха в 2/3 страни от ЕС. Един от най-често срещаните рансъмуер вируси, CryptoLocker, е заразил повече от четвърт милион компютри в страните от ЕС от септември 2013 г.

През 2016 г. броят на атаките с ransomware рязко се е увеличил - според анализаторите, с повече от сто пъти в сравнение с предходната година. Това е нарастваща тенденция и, както видяхме, напълно различни компании и организации са атакувани. Заплахата е от значение и за нестопански организации. Тъй като за всяка голяма атака злонамерените програми се надграждат и тестват от нападателите, за да „преминат“ антивирусна защита, антивирусите по правило са безсилни срещу тях.

На 12 октомври Службата за сигурност на Украйна предупреди за вероятността от нови широкомащабни кибератаки срещу държавни агенции и частни компании, подобни на епидемията от ransomware през юни НеПетя. Според украинското разузнаване „атаката може да бъде извършена с помощта на актуализации, включително публично достъпен приложен софтуер“. Нека помним, че в случай на нападение НеПетя,които изследователите свързват с групата BlackEnergy, първите жертви са компании, използващи софтуерУкраински разработчик на системата за управление на документи “M.E.Doc”.

След това, през първите 2 часа, бяха атакувани енергийни, телекомуникационни и финансови компании: Zaporozhyeoblenergo, Dneproenergo, Dnieper Electric Power System, Mondelez International, Oschadbank, Mars, Nova Poshta, Nivea, TESA, Kiev Metro, компютри на кабинета на министрите и правителството на Украйна, магазини "Auchan", украински оператори ("Kyivstar", LifeCell, "UkrTeleCom"), Privatbank, летище Бориспол.

Малко по-рано, през май 2017 г., вирусът рансъмуер WannaCry атакува 200 000 компютъра в 150 страни. Вирусът се разпространи през мрежите на университетите в Китай, фабриките на Renault във Франция и Nissan в Япония, телекомуникационната компания Telefonica в Испания и железопътния оператор Deutsche Bahn в Германия. Поради блокирани компютри в клиниките във Великобритания операциите трябваше да бъдат отложени, а регионалните звена на руското министерство на вътрешните работи не успяха да издадат шофьорски книжки. Изследователите казаха, че севернокорейските хакери от Lazarus стоят зад атаката.

През 2017 г. вирусите за криптиране достигнаха ново ниво: използването на инструменти от арсеналите на американските разузнавателни служби и новите механизми за разпространение от киберпрестъпниците доведоха до международни епидемии, най-големите от които бяха WannaCry и NotPetya. Въпреки мащаба на инфекцията, самият ransomware събра сравнително незначителни суми - най-вероятно това не са опити за печелене на пари, а за тестване на нивото на защита на критичните инфраструктурни мрежи на предприятия, държавни агенции и частни компании.